Wer die Desktop-App Claude auf seinem Mac installiert, bekommt mehr als erwartet: Das Unternehmen Anthropic schleust ohne jede Nachfrage eine sogenannte Native-Messaging-Brücke in sieben Chromium-Browser ein – darunter auch solche, die gar nicht auf dem Rechner installiert sind. Entdeckt hat das der Datenschutzforscher und Sicherheitsberater Alexander Hanff, wie er auf That Privacy Guy ausführlich dokumentiert.
Was Hanff bei einer Routineprüfung in seinem Brave-Browser-Verzeichnis fand, war eine Konfigurationsdatei namens com.anthropic.claude_browser_extension.json – von ihm nie installiert, nie autorisiert, nie auch nur erwähnt. Weitere Untersuchungen ergaben: Claude Desktop legt diese Datei in sieben Chromium-basierten Browsern ab – Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium. Auf dem Testrechner waren davon vier gar nicht installiert. Claude Desktop hatte deren Verzeichnisse trotzdem angelegt und die Brücke eingerichtet – auf Vorrat.
Was diese Brücke kann, ist kein Kleingedrucktes: Wenn eine der drei vorautorisierten Browser-Erweiterungen aktiv wird, erhält sie Zugriff auf DOM-Inhalte, kann Formulare ausfüllen, authentifizierte Browser-Sitzungen mitlesen und Screenshots aufzeichnen. Das Binary dafür läuft außerhalb der Browser-Sandbox mit vollen Nutzerrechten. Anthropic selbst beschreibt das in der eigenen Dokumentation offen – nur gegenüber dem Nutzer bei der Installation erwähnt man es mit keinem Wort.
Hanff spricht von einem klassischen Dark Pattern. Die Brücke ist schwer zu entfernen: Claude Desktop schreibt sie bei jedem Start neu. Wer die Datei löscht, findet sie beim nächsten Start wieder. Eigenen Logs der App zufolge hat Claude Desktop auf dem Rechner des Forschers 31 Installationsereignisse protokolliert. Das macOS-System-Attribut com.apple.provenance bestätigt: Schreiber der Manifest-Dateien ist Claude Desktop – dasselbe Programm, das auch sein eigenes Log führt.
Der Sicherheitsberater Noah M. Kenney, zitiert im The Register, will den Begriff „Spyware“ zwar nicht vollständig übernehmen – klassische Spyware exfiltriere aktiv Daten – räumt aber ein: „Was hier beschrieben wird, ist eine dauerhaft vorpositionierte Integrationsschicht, die dormant wartet, bis eine Browser-Erweiterung sie aktiviert. Das erweitert die Angriffsfläche erheblich.“ Hanff hält die juristische Qualifikation für eindeutig: Schon das bloße Ablegen der Dateien ohne Einwilligung verstoße gegen Artikel 5 Absatz 3 der ePrivacy-Richtlinie sowie gegen eine Reihe nationaler Computermissbrauch-Gesetze.
Pikant dazu: Anthropics eigene Dokumentation erklärt, dass die Chrome-Integration nur Chrome und Edge unterstützt – ausdrücklich nicht Brave, Arc oder andere Chromium-Browser. Die Logs zeigen das Gegenteil. Die Lücke zwischen öffentlich kommunizierter Reichweite und tatsächlichem Verhalten ist dokumentiert und reproduzierbar.
Auch das Timing ist aufschlussreich: Anthropic hatte die Funktion „Claude for Chrome“ erst im August 2025 als Research Preview gestartet und dabei in der eigenen Ankündigung eine Prompt-Injection-Erfolgsrate von 23,6 Prozent ohne Schutzmaßnahmen eingeräumt – und 11,2 Prozent selbst mit aktiven Gegenmaßnahmen. Mit anderen Worten: Die vorinstallierte Brücke auf Millionen Rechnern ist nach eigener Einschätzung des Unternehmens in fast einem von vier Angriffen überwindbar.
Hanff schickte Anthropic eine Unterlassungsaufforderung mit einer Frist von 72 Stunden. Eine öffentliche Antwort blieb aus. Auch auf Anfrage von The Register schwieg das Unternehmen. Bis heute, Anfang Mai 2026, hat Anthropic weder eine Stellungnahme veröffentlicht noch einen Patch angekündigt, der das Verhalten – stilles Vorinstallieren, automatisches Neuschreiben, fehlende Einwilligungsdialoge – korrigieren würde. Auch Apple, dessen macOS-Notarisierungsprozess das Binary mit Zertifikat und Zeitstempel versehen hat, hat sich nicht geäußert.
Das Schweigen hat Gewicht. Anthropic vermarktet sich als das „sichere“ KI-Labor, das mehr auf Ethik und Nutzerschutz setzt als die Konkurrenz. Wer seine Desktop-App heimlich in fremde Browser-Verzeichnisse schreibt – auch in Verzeichnisse von Browsern, die noch gar nicht installiert sind –, und das nach öffentlicher Entdeckung und Abmahnung still ignoriert, liefert eine ziemlich eindeutige Antwort darauf, was diese Positionierung wert ist.
Quellen:
- That Privacy Guy – Anthropic secretly installs spyware when you install Claude Desktop
- The Register – Claude Desktop changes software permissions without consent
- Malwarebytes – Researcher claims Claude Desktop installs „spyware“ on macOS
- WebProNews – Anthropic’s Claude Desktop caught planting hidden browser bridges
- Borns IT-Blog – Anthropic und Claude Code-Fails
Antworte auf den Kommentar von Dr.Faustus hat beschlossen und verkündet 👈 Antwort abbrechen